WO2017032346A1

WO2017032346A1 - 基于无线安全的客户机自连接保护方法和系统

Info

Publication number: WO2017032346A1
Application number: PCT/CN2016/101526
Authority: WO
Inventors: 吴旭莲; 臧玉生; 刘红光
Original assignee: 盾宇（上海）信息科技有限公司
Priority date: 2015-08-26
Filing date: 2016-10-09
Publication date: 2017-03-02
Also published as: CN105101210A

Abstract

本发明提供了一种基于无线安全的客户机自连接保护方法，包括：步骤1：获取待识别连接对象信息，其中，所述待识别连接对象信息包括基站信息和/或与基站对应的认证信息；步骤2：根据所述待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果，对待识别连接对象进行真伪识别；其中，所述历史连接对象信息包括历史基站信息和/或历史认证信息。本发明还提供相应的系统。基于当前客户机缺少自连接保护的现状，本发明给出从客户机端主动搭建无线自连接保护机制的方案，使得客户机能够主动识别伪基站，从而保障自身的信息安全。

Description

基于无线安全的客户机自连接保护方法和系统

技术领域

本发明涉及网络安全，具体地，涉及基于无线安全的客户机自连接保护方法和系统。

背景技术

随着我国全网覆盖计划的推进，客户机也渐渐的实现了随时随地连接入网，然而与此同时无线网络安全问题也引起了越来越多的关注。

无线安全通常由基站安全与客户机安全两部分组成，其中基站安全比较常见，其主要是由基站端对接入点进行管理，从而实施例如密码保护，连接限制等方式以保证基站的安全及运行稳定。然而由于大部分基站安全并不能由客户机主动把控，从而使得客户机在无线连接中始终处于被动，虽然拥有选择权，但是传统的SSID+密码的验证方式却也过于简单，客户机一旦连接上以诱骗为目的的伪基站，则也意味着客户端的个人信息能够被随意截获。因此，客户机端在无线连接过程中必须采取一定的安全防护措施，以主动保护个人信息安全。当前连接安全中较为常见的技术方案有：

(a)病毒查杀，通过一些安全软件的排查，找出系统中存在的“问题”程式，并对其进行限制或删除。

(b)安装特定的安全应用，安全应用中的临时数据及存储数据通常使用加密的方式，防止外泄，被篡改等。

(c)限制关键文件的访问，通过系统级修改使得数据存放位置无法从外部获取或者无权限访问。

然而上述传统技术方案在保护客户机信息安全的过程中也存在着各种无法规避的问题：

(a)“问题”程式的定义界限较为模糊，容易存在病毒遗漏或误查杀的情况出现，不止如此，这类病毒查杀软件相互间往往存在利益竞争，一旦互相攻击，则会出现绑架使用者的行为。

(b)这类安全应用覆盖面较窄，并且需要由于其特定性，容易产生暴力捆绑从而强加给客户机，同时，数据加密也存在一定被破解的可能，并不能从根本上保障其信息安全。

(c)系统级修改需要较高的管理员权限，而对于一般的客户机使用者来说门槛较高，不具有普遍性，而非专业的修改也可能会影响系统稳定性。

经对现有技术进行检索，发现如下相关文献。

相关检索结果4：

名称：实现移动终端无线认证加密的系统及方法

专利申请号：CN201410837945.9

申请公布号：CN104468626A

该发明涉及一种实现移动终端无线认证加密的系统及方法，其中包括移动终端，用以在与网络接入点初次建立通信时发送自身设备的IMEI至网络接入点以及在原无线连接密码认证失败时发送包含自身设备IMEI的认证请求报文至网络接入点；网络接入点，用以保存移动终端对应的IMEI和MAC地址以及当原无线连接密码认证失败时对移动终端进行认证。采用该种结构的实现移动终端无线认证加密的系统及方法，当AP中的无线连接密码被修改后，如果该移动终端设备已经连接过该AP，该移动设备可以使用IMEI进行认证，并且以IMEI为基础，重新生成加密的密钥，方便移动终端用户的连接网络，提高用户使用体验，具有更广泛的应用范围。

技术要点比较：

该专利文献与本发明所解决的技术问题完全不同。该专利文献的理由在于其提出的使用IMEI与MAC地址作为新的标识标签从而取代SSID与密码的传统组合使得即使历史AP更换了新密码客户机仍然可以进行连接，这是出于方便的考虑。而本发明的目的则是采用多样的标识组合达到个人信息安全的目的。

发明内容

针对现有技术中的缺陷，本发明的目的是提供一种基于无线安全的客户机自连接保护方法和系统，从而解决目前客户机通过基于SSID和密码即自动连接基站导致无主动连接自保护的问题。

根据本发明提供的一种基于无线安全的客户机自连接保护方法，包括如下步骤：

步骤1：获取待识别连接对象信息，其中，所述待识别连接对象信息包括基站信息和/或与基站对应的认证信息；

步骤2：根据所述待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果，对待识别连接对象进行真伪识别；

其中，所述历史连接对象信息包括历史基站信息和/或历史认证信息；

优选地，历史基站信息包括如下任意一种或任意多种信息：

-客户机往次数据连接基站形成的历史信息；

-客户机本次数据连接基站形成的历史信息；

-客户机上存有的历史基站信息表。

优选地，历史认证信息包括：

-基站对应的认证站点给与客户机的反馈信息

优选地，所述步骤1包括在客户机与基站数据连接前执行的如下步骤：

步骤1.1：获取基站的第一无线标识信息和第二无线标识信息；

所述步骤2包括在客户机与基站数据连接前执行的如下步骤：

步骤2.1：将第一无线标识信息与第二无线标识信息的组合，与历史基站信息进行匹配，根据匹配结果对所述基站进行真伪识别；

其中，所述第一无线标识信息与第二无线标识信息的组合，记为表示标签；

优选地，所述步骤1.1，包括如下步骤：

-在获取基站的第二无线标识信息时，随机将基站的一种非默认认证信息或多种非默认认证信息的组合作为所述基站的第二无线标识信息。

优选地，所述步骤1包括如下步骤：

步骤1-1：以客户机主动发起的连接作为可靠连接，将这种可靠连接发起时获取到的基站信息进行本地存储为历史基站信息，和/或该基站对应认证站点的认证信息作为历史认证信息；

步骤2包括在客户机与基站数据连接中执行的如下步骤：

步骤2-1：判断随着数据连接时间的推移，后续获取的基站信息与所述历史基站信息是否匹配，和/或后续获取的基站对应的认证站点的认证信息与所述历史认证信息是否匹配。

优选地，所述基站信息包括固件标签，获取基站信息的方法包括如下步骤：

步骤i1：接收基站和/或基站对应的认证站点对于客户机所发送报文的响应和/或反馈报文；

步骤i2：从所述响应和/或反馈报文中提取出关键字，组成固件标签作为基站信息。

优选地，所述客户机所发送报文，是指客户机针对可靠连接中基站的固件设备和/或基站对应的认证站点发送的报文。

优选地，所述步骤1包括在客户机登录与基站对应的认证站点前执行的如下步骤：

步骤101：获取与基站对应的认证站点的站点标签；

步骤102：将站点标签与历史认证信息进行匹配，根据匹配结果对所述基站进行真伪识别。

根据本发明提供的一种基于无线安全的客户机自连接保护系统，包括如下装置：

第一获取装置：获取待识别连接对象信息，其中，所述待识别连接对象信息包括基站信息和/或与基站对应的认证信息；

第一识别装置：根据所述待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果，对待识别连接对象进行真伪识别；

优选地，历史基站信息包括如下任意一种或任意多种信息：

-客户机往次数据连接基站形成的历史信息；

-客户机本次数据连接基站形成的历史信息；

-客户机上存有的历史基站信息表。

优选地，历史认证信息包括：

-基站对应的认证站点给与客户机的反馈信息客户机往次登录与基站对应的站点

优选地，所述第一获取装置包括如下装置：

第二获取装置：在客户机与基站数据连接前，获取基站的第一无线标识信息和第二无线标识信息；

所述第一识别装置包括如下装置：

第二识别装置：在客户机与基站数据连接前，将第一无线标识信息与第二无线标识信息的组合，与历史基站信息进行匹配，根据匹配结果对所述基站进行真伪识别；

优选地，所述第二获取装置，包括如下装置：

-第一策略装置：在获取基站的第二无线标识信息时，随机将基站的一种非默认认证信息或多种非默认认证信息的组合作为所述基站的第二无线标识信息。

优选地，所述第一获取装置包括如下装置：

第三获取装置：以客户机主动发起的连接作为可靠连接，将这种可靠连接发起时获取到的基站信息进行本地存储为历史基站信息，和/或该基站对应认证站点的认证信息作为历史认证信息；；

所述第一识别装置包括的如下装置：

第三识别装置：在客户机与基站数据连接中，判断随着数据连接时间的推移，后续获取的基站信息与所述历史基站信息是否匹配，和/或后续获取的基站对应的认证站点的认证信息与所述历史认证信息是否匹配。

优选地，所述基于无线安全的客户机自连接保护系统还包括第一接收装置、第一提取装置；所述基站信息包括固件标签，获取基站信息的方法通过如下装置执行：

第一接收装置：接收基站和/或基站对应的认证站点对于客户机所发送报文的响应和/或反馈报文；

第一提取装置：从所述响应和/或反馈报文中提取出关键字，组成固件标签作为基站信息。

优选地，所述第一获取装置包括如下装置：

第四获取装置：在客户机登录与基站对应的认证站点前，获取与基站对应的认证站点的站点标签；

第四识别装置：在客户机登录与基站对应的认证站点前，将站点标签与历史认证信息进行匹配，根据匹配结果对所述基站进行真伪识别。与现有技术相比，本发明具有如下的有益效果：

基于当前客户机缺少自连接保护的现状，本发明给出从客户机端主动搭建无线自连接保护机制的方案，在无线数据连接前对待识别连接对象的基站热点做辨识，检查是否与历史基站为同一(类/个)，根据安全预警的级别，匹配筛选并告知客户机或直接管控连接，使得客户机能够主动识别伪基站，从而保障自身的信息安全。尤其是当目标基站通过SSID与密码伪装成客户机的历史访问基站点时，客户机在尝试连接时能够主动识别出伪基站并给与用户提示。

附图说明

通过阅读参照以下附图对非限制性实施例所作的详细描述，本发明的其它特征、目的和优点将会变得更明显：

图1为本发明所提供基于无线安全的客户机自连接保护系统的结构示意图；

图2为本发明所提供基于无线安全的客户机自连接保护方法的流程示意图；

图3为传统客户机的自连接原理示意图；

图4为本发明中客户机的自连接保护原理示意图；

图5为本发明优选应用例的工作流程图。

具体实施方式

下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明，但不以任何形式限制本发明。应当指出的是，对本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变化和改进。这些都属于本发明的保护范围。

进一步地，历史基站信息包括如下任意一种或任意多种信息：

-客户机往次数据连接基站形成的历史信息；

-客户机本次数据连接基站形成的历史信息；

-客户机上存有的历史基站信息表。

进一步地，历史认证信息包括：

-基站对应的认证站点给与客户机的反馈信息。

优选地，所述第一获取装置包括如下装置：

所述第一识别装置包括如下装置：

所述第二获取装置，包括如下装置：

优选地，所述第一获取装置包括如下装置：

所述第一识别装置包括的如下装置：

所述基于无线安全的客户机自连接保护系统还包括第一接收装置、第一提取装置；所述基站信息包括固件标签，获取基站信息的方法通过如下装置执行：

所述客户机所发送报文，是指客户机针对可靠连接中基站的固件设备和/或基站对应的认证站点发送的报文。

优选地，所述第一获取装置包括如下装置：

第四识别装置：在客户机登录与基站对应的认证站点前，将站点标签与历史认证信息进行匹配，根据匹配结果对所述基站进行真伪识别。

所述基于无线安全的客户机自连接保护系统，可以通过一种基于无线安全的客户机自连接保护方法的流程步骤实现。本领域技术人员可以将所述基于无线安全的客户机自连接保护方法理解为所述基于无线安全的客户机自连接保护系统的一个实施例。所述基于无线安全的客户机自连接保护方法，具体如下。

步骤1：获取待识别连接对象信息；

客户机可以采用无线方式(例如wifi等短距离无线通信方式)与基站(例如wifi基站)建立连接加入基站所在的无线局域网，然后通过基站连接入互联网。客户机可以是智能手机；客户机还可以是物联网终端，例如家用电器的路由盒子，基站为无线基站。

待识别连接对象可以是基站，相应地，待识别连接对象信息是基站信息，历史连接对象信息是历史基站信息。待识别连接对象还可以是与基站对应的认证平台(例如认证站点)，相应地，待识别连接对象信息是与基站对应的认证信息，历史连接对象信息是历史认证信息。历史连接对象信息可以由客户机将真基站和/或真认证站点的全部或部分信息记录在本地形成。

步骤1的执行时间可以有多种方式。步骤1可以在客户机与基站建立真正的连接之前即执行。步骤1还可以在客户机与基站已建立真正的连接之中执行，实际中，可以在客户机与基站已建立真正的连接之中，多次反复执行步骤1、步骤2，以识别客户机当前的连接对象是真基站还是信号发射功率强于真基站的伪基站。其中，所述真正的连接是指数据连接，本发明的目的即在于防止伪基站取得客户机的数据(尤其是隐私数据)。

需要说明的是：所述待识别连接对象包括待建立数据连接对象、待继续保持数据连接对象。具体地，所述待识别连接对象可以是客户机的尚未建立数据连接而依赖真伪识别结果考虑是否要建立数据连接的连接对象，即所述待识别连接对象包括待建立数据连接对象，相应地，所述待识别连接对象信息包括待建立数据连接对象信息；所述待识别连接对象还可以是客户机的已建立数据连接且需要依赖真伪识别结果以考虑是否能够继续保持数据连接的连接对象，即所述待识别连接对象包括待继续保持数据连接对象，相应地，所述待识别连接对象信息包括待继续保持数据连接对象信息，进一步地，当客户机与真基站建立数据连接后，若伪基站的发射功率大于真基站，则伪基站会对真基站造成干扰与屏蔽，使得客户机被强制连接到伪基站，因此，即使客户机在当前时刻是与真基站建立的数据连接，但是，在数据连接中不能排除下一个时刻会被强制连接至伪基站，因此对于客户机而言下一个时刻是否继续数据连接需要进行真伪识别，也就是说，下一时刻的基站对于客户机来讲是一个待识别真伪后才确认是否保持数据连接或者重新数据连接的待识别连接对象。

在步骤2中，若待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果为相匹配一致，则将待识别连接对象识别为真；若待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果为不匹配一致，则将待识别连接对象识别为伪。所述历史连接对象信息包括历史基站信息和/或历史认证信息。

所述客户机本地是相对于基站以及互联网而言的本地，例如，客户机本地可以是客户机内部的存储装置，还可以是与客户机属于同一终端下的存储装置。

所述历史基站信息可以是客户机往次数据连接基站形成的历史信息。形成的方法可以是：相对于客户机在本次准备对待建立数据连接的基站进行真伪识别以建立数据连接前，客户机在往次主动与基站建立数据连接后将该基站信息存储形成为所述历史信息。优选地，所述往次是指历史上的首次或者前次。

所述历史基站信息可以是客户机本次数据连接基站形成的历史信息。形成的方法可以是：客户机在本次主动与基站建立数据连接后，立刻(例如在下一个时隙内)将该基站信息存储为所述历史信息，然后在数据连接的过程中，当再次获取基站信息后，则该基站信息相对于再次获得的基站信息构成历史信息。

所述历史基站信息可以是客户机上存有的历史基站信息表，其中，所述历史基站信息表中记载的基站信息优选地是预先设置的。例如，若希望将客户机的连接基站指定为有限的若干基站，则可以将该若干基站的基站信息预先设置写入历史基站信息表中。

所述历史认证信息包括基站对应的认证站点给与客户机的反馈信息。例如，所述认证站点给与客户机的反馈信息，可以是客户机往次登录与基站对应的认证站点形成的历史信息，还可以是该站点对于特定报文的认证反馈。

所述历史认证信息可以是客户机往次登录与基站对应的认证站点形成的历史信息。在城市的公共场所(例如交通站点、餐厅)，为了使得用户能够快捷方便地上网，构建有wifi热点，当用户需要将智能手机接入wifi热点时，首先需要通过智能手机登录与该wifi热点对应的认证站点(例如i-Shanghai的认证站点)获取上网密码(wifi的安全密钥)，然后有了上网密码客户机才可以接入wifi热点进而连接互联网。其中，形成的方法可以是：相对于客户机在本次准备对待登录的与基站对应的认证站点进行真伪识别以发送登录信息之前，客户机在往次主动与基站建立数据连接后将与该基站对应的认证站点信息存储形成为所述历史信息。优选地，所述往次是指历史上的首次或者前次。

识别到伪基站时，可以通过提示安全性信息来告知用户，由用户指定重新连接。用户可通过(增加/替换)授信、清除或者更新历史基站信息的方法接纳新的不一致基站，将识别到的伪基站认定为真基站。

在一个优选例中，客户机的待识别连接对象为尚未数据连接的基站，因此需在数据连接前对该基站进行真伪识别，若为真基站，则客户机与该基站建立数据连接，若为伪基站，则客户机生成伪基站的提示。具体地，可以利用基站的无线标识信息作为真伪基站的识别依据，对客户机实现主动连接自保护。

所述步骤1包括在客户机与基站数据连接前执行的如下步骤：

所述步骤2包括在客户机与基站数据连接前执行的如下步骤：

所述第一无线标识信息，可以为基站的明文标识信息，所述明文标识信息是指能够被伪基站获得且能够被复制伪装的公开信息，例如基站的SSID(Service Set Identifier)、ESSID(Extended Service Set Identifier)、基站所在局域网的网络名称、BSSID(Basic Service Set Identifier)、信道(channel)、设备地址。其中，在手机WLAN中ESSID可认为是wifi网络名。相应地，所述第二无线标识信息，可以为所述明文标识信息之外的无线标识信息，记为非明文标识信息，例如设备厂家信息。其中，在手机WLAN中，BSSID即无线路由的MAC地址。其中，所述的随机是相对于基站而言的，即所述随机是指对于基站是不规律的，而不是固定的。若所述第二无线标识信息不是随机的，例如第二无线标识信息是固定的几种非明文标识信息，则伪基站可以预先对这些非明文标识信息进行设置以达到伪装的目的；而当所述第二无线标识信息是随机的时，伪基站将难以预先知道需要对哪些非明文标识信息进行伪装，例如第二无线标识信息可以有时是一种非明文标识信息，有时是几种非明文标识信息，其中非明文标识信息的种数和种类在每次获取基站信息中均是可以变化的，达到使伪基站找不到规律实现随机的目的。

所述第一无线标识信息，还可以为连接基站的默认认证信息，默认认证信息是指基站被客户机搜索到或者客户机查找到基站前客户机必须得到的基站信息，例如基站的 SSID(Service Set Identifier)、ESSID(Extended Service Set Identifier)或者所在局域网的网络名称。其中，在获取基站的第二无线标识信息时，随机将基站的一种非默认认证信息或多种非默认认证信息的组合作为所述基站的第二无线标识信息。其中，所述的随机是相对于基站而言的，即所述随机是指对于基站是不规律的，而不是固定的。若所述第二无线标识信息不是随机的，例如第二无线标识信息是固定的几种非默认认证信息，则伪基站可以预先对这些非默认认证信息进行设置以达到伪装的目的；而当所述第二无线标识信息是随机的时，伪基站将难以预先知道需要对哪些非默认认证信息进行伪装，例如第二无线标识信息可以有时是一种非默认认证信息，有时是几种非默认认证信息，其中非默认认证信息的种数和种类在每次获取基站信息中均是可以变化的，达到使伪基站找不到规律实现随机的目的。

例如，传统的客户机仅将ESSID作为识别基站的依据，如图3所示，伪基站完全可以将自身的ESSID伪装成“abc”、“xyz”或者“123”。而在本发明中，在建立数据连接前，客户机将表示标签定义为ESSID、BSSID、信道的组合，而非单用ESSID作为识别基站。一旦发现不完全匹配该组合的无线标识信息要求，则客户机告知用户需要通过手动指定ESSID而非自动连接，因为目标连接基站可能不是之前历史上已安全数据连接过的，可能为伪基站。如图4所示，将表示标签定义为ESSID、BSSID、信道的组合，只要一基站的ESSID、BSSID、信道中的任意一项导致其组合与历史基站信息不匹配，就可以识别为伪基站，其中，导致组合不匹配的项已在图4中用下划线标出。

在另一个优选例中，客户机的待识别连接对象为作为待继续保持数据连接对象的基站，由于在客户机与真基站的数据连接过程中客户机有可能会被强制连接至伪基站，因此需要在数据连接中定期或不定期地对当前数据连接的基站进行真伪识别，若当前数据连接的基站为真基站，则客户机继续保持与该真基站的数据连接，若当前数据连接的基站为伪基站，则客户机直接断开数据连接或者生成伪基站的提示。具体地，可以利用基站的固件标签作为真伪基站的识别依据，对客户机实现主动连接自保护。

所述步骤1包括如下步骤：

步骤1-1：以客户机主动发起的连接作为可靠连接，将这种可靠连接发起时获取到的基站信息进行本地存储为历史基站信息，和/或该基站对应认证站点的认证信息作为历史认证信息；；

所述步骤2包括在客户机与基站数据连接中执行的如下步骤：

当通过上述步骤1.1-1.2或者其它方式可以确认基站为真基站(以及相应确认基站对应的认证站点为真认证站点)后，则客户机主动发起对真基站的连接并认为该连接为可靠连接，也就是说，只有在确认基站为真基站时客户机才会主动发起连接，否则当基站的真伪未识别时客户机不会主动发起连接。

通过步骤1-1、步骤2-1需要多次获取基站信息(和/或认证站点的认证信息)，可靠连接发起时获取的基站信息是在客户机主动发起连接之前最近一次获取的基站信息(以及对应的认证站点的认证信息)，其中，客户机正是通过所述最近一次获取的基站信息识别出基站为真基站(或者通过认证信息识别出认证站点为真认证站点)，从而建立可靠连接，因此所述客户机主动发起连接之前最近一次获取的基站信息对应于可靠连接。当然，次优选地，也可以将建立可靠连接后第一次获取的基站信息作为所述可靠连接发起时获取的基站信息。

所述后续获取的基站信息与所述历史基站信息是否匹配，具体是指后续获取的基站信息与对应可靠连接发起时获取的基站信息进行匹配，若匹配一致，则客户机继续保持当前的数据连接，若匹配不一致，则客户机断开当前的数据连接或者生成伪基站提示。

所述后续获取的基站对应的认证站点的认证信息与所述历史认证信息是否匹配，具体是指后续获取的认证信息与对应可靠连接发起时获取的认证信息进行匹配，若匹配一致，则客户机继续保持当前的数据连接，若匹配不一致，则客户机断开当前的数据连接或者生成伪基站提示。

所述基站信息包括固件标签，相应地，所述步骤1-1具体为以客户机主动发起的连接作为可靠连接，并将对应可靠连接的首次获取的固件标签作为历史基站信息进行存储，所述步骤2-1具体为判断随着数据连接时间的推移，后续次获取的固件标签与所述首次获取的固件标签是否匹配。

获取固件标签的方法包括如下步骤：

在建立数据连接后，客户机通过主动发送应用层和数据链路层的报文(例如：HTTP、LLDP、ICMP、DHCP或者SNMP等TCP/UDP协议)与基站私密对话，并接收基站对于客户机所发送报文的响应和/或反馈报文。

其中，所述客户机所发送报文，是指客户机针对可靠连接中基站的固件设备发送的报文，所述报文要求当前与客户机数据连接的基站返回记载有该基站的固件设备信息的响应和/或反馈报文，然后客户机从所述响应和/或反馈报文中提取出关于固件设备信息的关键字，组成固件标签。所述固件设备信息可以是固件出厂日期、固件品牌厂家、固件版本号、固件管理标识。所述响应可以为有无响应、TCP连接请求响应等。例如，固件标签可以由标签“tag1(回应报文第一关键字)”、“tag2(回应报文第二关键字)”、“tag3(响应/无响应)”、“tag4(IP网络地址号)”、“tag5(设备管理标识)”以及“tag6(9000个端口的轮训TCP连接请求响应情况)构成。

所述客户机所发送报文，可以是指客户机针对可靠连接中基站对应的认证站点发送的报文。具体地，所述报文可以是SNMP报文。

如果后续次获取的固件标签与所述首次获取的固件标签不一致，则向用户预警与客户机连接的基站已发生变化，提示中断与当前基站的连接，确保安全性。

进一步地，所述报文所要求当前与客户机数据连接的基站返回的固件标签为多种固件设备信息的随机组合。所述的多种固件设备信息的随机组合是相对于基站而言的，即所述随机是指对于基站是不规律的，而不是固定的。而对于客户机而言，所述随机并不是纯粹的随机，随机组合中的固件设备信息可以基于时间、连接对象的信号强度以及客户机支持的IP协议侦测等因素进行设定。这样的好处是，在数据连接中的后续多次获取的固件标签对应的随机组合各不相同，这样就可以实现通过多次识别，避免一次识别就向伪基站暴露客户机所有的识别方法。

更进一步地，所述报文是针对可靠连接中基站的固件设备的，因此，伪基站的固件设备由于不同于真基站的固件设备，因此真基站的固件设备信息对于伪基站来讲是未知的，从而针对可靠连接中基站的固件设备的报文所要求返回的固件设备信息对伪基站来讲是随机的。

在又一个优选例中，客户机的待识别连接对象为与尚未数据连接的基站对应的待登录认证站点。所述步骤1包括在客户机登录与基站对应的认证站点前执行的如下步骤：

步骤101：获取与基站对应的认证站点的站点标签；

所述站点标签可以是站点的DNS、站点服务器标签，IP地址等用于识别站点身份的标签。

对于面向公众的开放式的无线局域网(例如快餐店中的无线局域网)，在允许客户机接入无线局域网基站之前，需要客户机通过统一的后台认证站点登录后做用户名认证，然后才能获得上网密码。对于这样的开放式的无线局域网，客户机在连接到伪基站后，与伪基站对应的认证站点可以是钓鱼站点，这样不仅仅可以继续诱骗，还能得到用户的个性化的用户认证信息。此时，这种标签进一步拓宽到后台的认证站点检测(DNS、站点服务器标签，IP地址等等)。因此，客户机可以在往次主动与基站建立数据连接后将与该基站对应的认证站点的站点标签存储形成为所述历史认证信息，从而在当前客户机准备对待登录的与基站对应的认证站点进行真伪识别以发送登录信息之前，将当前认证站点的站点标签与所述历史认证信息进行匹配，若匹配一致，则将当前认证站点识别为真，否则识别为伪。

下面对一个优选的具体实施方式进行描述。

在作为客户机的智能移动设备系统(android/ios/wp/linux等系统)中嵌入本发明提供的基于无线安全的客户机自连接保护系统，或者在集成电路芯片中(如51单片机/arm单片机/avr单片机/嵌入式模块中)，嵌入本发明提供的基于无线安全的客户机自连接保护系统，采用如下步骤：

-客户机判断附近是否存在可连接且历史上数据连接过的热点基站；若存在，则进入下述步骤继续执行；若不存在，则对可用热点基站进行手动触发连接；

-通过执行上述步骤1.1、步骤2.1利用表示标签对基站进行真伪识别；若识别结果为真，则与该真基站进行数据连接，若识别结果为伪，则由用户判断是否需要手动触发连接；

-在数据连接中，通过执行上述步骤1-1、步骤2-1利用固件标签对当前连接的基站进行真伪识别；若识别结果为真，则与该真基站保持数据连接，若识别结果为伪，则由用户判断是否需要继续；

-通讯结束后，客户机记载热点基站的表示标签和固件标签作为历史基站信息。

本发明还提供一种存储有计算机程序的计算机可读存储介质，其中，所述计算机可读存储介质中的计算机程序使计算机执行所述基于无线安全的客户机自连接保护方法，所述计算机可读存储介质包括光盘、磁盘、ROM、PROM、VCD、DVD等；所述基于无线安全的客户机自连接保护方法包括如下步骤：

其中，所述历史连接对象信息包括历史基站信息和/或历史认证信息。

优选地，历史基站信息包括如下任意一种或任意多种信息：

-客户机往次数据连接基站形成的历史信息；

-客户机本次数据连接基站形成的历史信息；

-客户机上存有的历史基站信息表。

优选地，历史认证信息包括：

-基站对应的认证站点给与客户机的反馈信息

所述步骤2包括在客户机与基站数据连接前执行的如下步骤：

优选地，所述步骤1.1，包括如下步骤：

优选地，所述步骤1包括如下步骤：

步骤2包括在客户机与基站数据连接中执行的如下步骤：

步骤101：获取与基站对应的认证站点的站点标签；

本领域技术人员知道，除了以纯计算机可读程序代码方式实现本发明提供的系统及其各个装置以外，完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统及其各个装置以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同功能。所以，本发明提供的系统及其各项装置可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构；也可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

以上对本发明的具体实施例进行了描述。需要理解的是，本发明并不局限于上述特定实施方式，本领域技术人员可以在权利要求的范围内做出各种变化或修改，这并不影响本发明的实质内容。在不冲突的情况下，本发明的实施例和实施例中的特征可以任意相互组合。

Claims

一种基于无线安全的客户机自连接保护方法，其特征在于，包括如下步骤：

步骤1：获取待识别连接对象信息，其中，所述待识别连接对象信息包括基站信息和/或与基站对应的认证信息；

步骤2：根据所述待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果，对待识别连接对象进行真伪识别；

其中，所述历史连接对象信息包括历史基站信息和/或历史认证信息。
根据权利要求1所述的基于无线安全的客户机自连接保护方法，其特征在于，历史基站信息包括如下任意一种或任意多种信息：

-客户机往次数据连接基站形成的历史信息；

-客户机本次数据连接基站形成的历史信息；

-客户机上存有的历史基站信息表。
根据权利要求1所述的基于无线安全的客户机自连接保护方法，其特征在于，历史认证信息包括：

-基站对应的认证站点给与客户机的反馈信息。
根据权利要求1所述的基于无线安全的客户机自连接保护方法，其特征在于，所述步骤1包括在客户机与基站数据连接前执行的如下步骤：

步骤1.1：获取基站的第一无线标识信息和第二无线标识信息；

所述步骤2包括在客户机与基站数据连接前执行的如下步骤：

步骤2.1：将第一无线标识信息与第二无线标识信息的组合，与历史基站信息进行匹配，根据匹配结果对所述基站进行真伪识别；

其中，所述第一无线标识信息与第二无线标识信息的组合，记为表示标签。
根据权利要求4所述的基于无线安全的客户机自连接保护方法，其特征在于，所述步骤1.1，包括如下步骤：

-在获取基站的第二无线标识信息时，随机将基站的一种非默认认证信息或多种非默认认证信息的组合作为所述基站的第二无线标识信息。
根据权利要求1所述的基于无线安全的客户机自连接保护方法，其特征在于，所述步骤1包括如下步骤：

步骤1-1：以客户机主动发起的连接作为可靠连接，将这种可靠连接发起时获取到的基站信息进行本地存储为历史基站信息，和/或该基站对应认证站点的认证信息作为历史认证信息；

所述步骤2包括在客户机与基站数据连接中执行的如下步骤：

步骤2-1：判断随着数据连接时间的推移，后续获取的基站信息与所述历史基站信息是否匹配，和/或后续获得的基站对应的认证站点的认证信息与所述历史认证信息是否匹配。
根据权利要求6所述的基于无线安全的客户机自连接保护方法，其特征在于，所述基站信息包括固件标签，获取基站信息的方法包括如下步骤：

步骤i1：接收基站和/或基站对应的认证站点对于客户机所发送报文的响应和/或反馈报文；

步骤i2：从所述响应和/或反馈报文中提取出关键字，组成固件标签作为基站信息。
根据权利要求7所述的基于无线安全的客户机自连接保护方法，其特征在于，所述客户机所发送报文，是指客户机针对可靠连接中基站的固件设备和/或基站对应的认证站点发送的报文。
根据权利要求1所述的基于无线安全的客户机自连接保护方法，其特征在于，所述步骤1包括在客户机登录与基站对应的认证站点前执行的如下步骤：

步骤101：获取与基站对应的认证站点的站点标签；

步骤102：将站点标签与历史认证信息进行匹配，根据匹配结果对所述基站进行真伪识别。
一种基于无线安全的客户机自连接保护系统，其特征在于，包括如下装置：

第一获取装置：获取待识别连接对象信息，其中，所述待识别连接对象信息包括基站信息和/或与基站对应的认证信息；

第一识别装置：根据所述待识别连接对象信息与客户机本地的历史连接对象信息的匹配结果，对待识别连接对象进行真伪识别；

其中，所述历史连接对象信息包括历史基站信息和/或历史认证信息。
根据权利要求10所述的基于无线安全的客户机自连接保护系统，其特征在于，历史基站信息包括如下任意一种或任意多种信息：

-客户机往次数据连接基站形成的历史信息；

-客户机本次数据连接基站形成的历史信息；

-客户机上存有的历史基站信息表。
根据权利要求10所述的基于无线安全的客户机自连接保护系统，其特征在于，历史认证信息包括：

-基站对应的认证站点给与客户机的反馈信息。
根据权利要求10所述的基于无线安全的客户机自连接保护系统，其特征在于，所述第一获取装置包括如下装置：

第二获取装置：在客户机与基站数据连接前，获取基站的第一无线标识信息和第二无线标识信息；

所述第一识别装置包括如下装置：

第二识别装置：在客户机与基站数据连接前，将第一无线标识信息与第二无线标识信息的组合，与历史基站信息进行匹配，根据匹配结果对所述基站进行真伪识别；

其中，所述第一无线标识信息与第二无线标识信息的组合，记为表示标签。
根据权利要求13所述的基于无线安全的客户机自连接保护系统，其特征在于，所述第二获取装置，包括如下装置：

-第一策略装置：在获取基站的第二无线标识信息时，随机将基站的一种非默认认证信息或多种非默认认证信息的组合作为所述基站的第二无线标识信息。
根据权利要求10所述的基于无线安全的客户机自连接保护系统，其特征在于，所述第一获取装置包括如下装置：

第三获取装置：以客户机主动发起的连接作为可靠连接，将这种可靠连接发起时获取到的基站信息进行本地存储为历史基站信息，和/或该基站对应认证站点的认证信息作为历史认证信息；；

所述第一识别装置包括的如下装置：

第三识别装置：在客户机与基站数据连接中，判断随着数据连接时间的推移，后续获取的基站信息与所述历史基站信息是否匹配，和/或后续获取的基站对应的认证站点的认证信息与所述历史认证信息是否匹配。
根据权利要求15所述的基于无线安全的客户机自连接保护系统，其特征在于，包括第一接收装置、第一提取装置；所述基站信息包括固件标签，获取基站信息的方法通过如下装置执行：

第一接收装置：接收基站和/或基站对应的认证站点对于客户机所发送报文的响应和/或反馈报文；

第一提取装置：从所述响应和/或反馈报文中提取出关键字，组成固件标签作为基站信息。
根据权利要求16所述的基于无线安全的客户机自连接保护系统，其特征在于，所述客户机所发送报文，是指客户机针对可靠连接中基站的固件设备和/或基站对应的认证站点发送的报文。
根据权利要求10所述的基于无线安全的客户机自连接保护系统，其特征在于，所述第一获取装置包括如下装置：

第四获取装置：在客户机登录与基站对应的认证站点前，获取与基站对应的认证站点的站点标签；

第四识别装置：在客户机登录与基站对应的认证站点前，将站点标签与历史认证信息进行匹配，根据匹配结果对所述基站进行真伪识别。